「RealPlayer」に複数の深刻な脆弱性

RealNetworksが開発するマルチメディアプレイヤー「RealPlayer」において、複数の深刻な脆弱性が判明した。修正方法などはわかっていない。

「同20.0.8.310」や「同20.0.7.309」において、任意のファイルタイプをダウンロードさせ、任意の場所に配置できるディレクトリトラバーサルの脆弱性「CVE-2022-32270」が指摘されている。

脆弱性を悪用されると。端末の起動時に実行ファイルを実行させたり、DLLインジェクションなどに悪用されるおそれがある。

また「同20.0.8.310」では、ローカルのHTTPエラーページに安全ではない「JavaScript」を挿入できる脆弱性「CVE-2022-32269」も明らかとなった。

さらにファイルを参照するために使用する内部URLプロトコルに脆弱性「CVE-2022-32271」が存在。任意のドメインにスクリプトを注入できるという。

（Security NEXT - 2022/06/14 ） ツイート

PR

関連記事

ランサム被害でシステム障害、グループ各社に影響 - テイン
公開PDF資料に個人情報、県注意喚起きっかけに判明 - 菊池市
小学校で個人票を誤配布、マニュアルの認識不十分で - 大阪市
ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
ネット印刷サービスにサイバー攻撃、個人情報流出か - ウイルコHD子会社
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
ランサム攻撃者が犯行声明、事実関係を確認中 - アスクル
ペット保険システムから契約者情報など流出した可能性 - アクサ損保
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加